以低技術難度網路攻擊來牟取高獲利的匯款詐騙手法,多出現在商務洽談出貨或付款的階段,但事實上,攻擊者多半早已竊取該信箱的郵件一段時間,只是靜待進行匯款交易時,才伺機從中變造郵件,誤導付款方將款項匯至攻擊者的帳戶。
網路攻擊的型態漸漸改變,過去無償、炫耀或惡作劇型的入侵與破壞事件,已慢慢式微,惡意攻擊者也開始追求效率與利益,除了攻擊的成果應該要能產生實際獲益,還致力於將攻擊成本降低。近年來海內外匯款詐騙事件有升高的趨勢,就是一個以低技術難度追求高獲利的顯著例子。
匯款詐騙的事件多出現在商務洽談出貨或付款的階段,但事實上,攻擊者多半早已竊取該信箱的郵件一段時間,只是靜待匯款交易時,才伺機從中變造匯款帳號,誤導付款方將款項匯至攻擊者的帳戶。例如,駭客會攔截或更正重寄來自合作廠商的匯款通知信件,僅更改其附件的收款帳號資訊及郵件內容,付款方收到內容語氣完全足以亂真的偽冒請款信。
以社交工程騙取帳密 或透過字典檔試誤
在這種最近相當猖獗的詐騙手法中,攻擊者多半透過三種方式來竊取受害者的郵件。一種為木馬入侵或直接攻擊郵件系統漏洞,取得機敏資訊;一種為透過釣魚郵件騙取被攻擊者的電子郵件帳號密碼,例如假冒「公司郵件系統實施帳號重新驗證」;還有一種為直接使用被公開過的弱密碼字典檔,透過SMTP或POP3認證的方式猜測使用「弱密碼」的帳號。
|
▲請款方的郵件帳密外洩時,駭客的手法是重寄一封足可亂真的匯款帳號變更通知。 |
「弱密碼」指的是依循大眾慣用邏輯的密碼,表面上看起來未必簡單,但卻是多數人容易記住的密碼,比方「12345」、「password」、「apple」等等,因為這些密碼多數人容易記住並採用,所以駭客直接使用這些密碼來進行猜測的話,可以大幅度縮短密碼猜測的次數及時間。在ASRC過去調查的經驗中,受到匯款詐騙攻擊的用戶,多半早就有遭受從多個IP嘗試收發信,或密碼試誤的記錄。
不動聲色監看郵件 有匯款交易時才出手
入侵成功的攻擊者,多半會不動聲色,持續監看被攻擊者過去以及持續往來的郵件,或者利用取得的帳號密碼,試圖再進一步登入其他系統竊取資料。當交易即將發生時,攻擊者才會以「中間人」的姿態從中攔截原通知匯款郵件,或者再次發信向受攻擊者更改匯款帳戶,信的用語及格式都會仿造與原發信者一致,更甚者,還能提供更多相關的資料文件、用印等等,這取決於攻擊者竊取資料的程度。
|
▲付款方的郵件帳密外洩時,駭客會攔截真正的匯款通知信,讓受害者自始就收到偽造的請款信。 |
面對這類的網路犯罪,最好的預防方法就是,在各種金錢交易進行前,一律透過除了郵件以外的第二管道(例如透過電話),確定交易人員、日期、帳號、款項等資訊,且有任何交易變更也都循此原則透過第二連絡管道再行確認,這會是最保險的手法。其次,才是透過資安設備進行協防。
提高警覺加強預防 沒騙成也恐已遭滲透
透過資安設備進行協防的方式可從三個主要的方向進行。其一,定時更新並修補各種系統弱點,並做良好的資訊安全規劃與防範,如社交工程演練、密碼複雜度、密碼稽核及密碼強制定期變更等。其二,直接透過電子郵件過濾機制攔截或警示異常的郵件,比方是否存在寄件者偽裝,或直接杜絕釣魚郵件與內部人員接觸。其三,則是透過良好的設定,限制公司內部郵件可收信的IP範圍,或者透過防火牆、Log監控機制,用以即時示警及杜絕不合理的收發信IP或者各種疑似猜測密碼的行為。
除了攔截並變造交易郵件的中間人匯款攻擊外,尚有許多假冒公司、展覽邀請、詢價或假合作的詐騙亦不少,這些攻擊所運用的多半是傳統的社交工程騙術,相較於挾帶有滲透疑慮的中間人匯款攻擊,是相對好預防的。
中間人匯款攻擊所造成的並不是單一方財務的損失,更可能是波及交易雙方間的信賴及後續合作關係,且中間人匯款攻擊一旦發生,不論詐騙成功與否,都代表著交易雙方內部資訊可能存在相當程度的外洩,需要特別重視並詳細盤查攻擊者的入侵管道及滲透程度。
本文作者高銘鍾,現任ASRC垃圾訊息研究中心主任。擁有專案管理師、ISO 27000、ISO 20000等相關證照,並具有十年資安領域相關經驗,專精於垃圾郵件、惡意攻擊研究。ASRC垃圾訊息研究中心(Asia Spam-message Research Center)長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜。